<tt id="8hexo"></tt> 
?
對信息技術的信心可以通過在開發、評估和運行等過程中所采取的活動來獲得......
?
信息技術(IT)是驅動公共和私營部門中現代化企業的推動力量,政府機構及其業務越來越依賴IT系統來履行其關鍵使命和職能,提高企業生產力。隨著這些系統在特性及相關能力方面的指數性增長,他們在過去的10年中已大大增強。但對美國關鍵信息基礎設施中的系統來說,這也極大地增加了它們的負責程度。在評估IT系統的安全時,復雜度是一個主要的關注因素。因為系統越復雜,就越難以對其所有組件進行全面檢查。IT安全包括對信息和系統進行保護和防御,并確保其保密性、完整性和可用性。這涉及到通過保護、檢測和反應能力來提供系統的連續性運行。確保制定出適宜的安全目標,標識風險,根據運行要求而對風險進行平衡,這是管理層的基本責任。
?
管理和預算辦公室(OBM)A-130號通告《聯邦信息資源管理》中,要求各聯邦機構制定安全計劃,確保為有關官員分配安全責任,并要求在系統運行之前對其進行授權且在此后定期實施這項工作。這些管理責任要求政府機構的責任官員對可能會給其使命目標帶來負面影響的風險及其他因素有所了解,而且,這些官員還必須知曉安全項目和安全控制的當前狀態,以便做出明智的決策和投資,將風險適度降低至一個可以接受的水平。政府機構中的安全責任官員的目標是實施其安全項目,帶到OMB A-130號通告中定義的充分安全性,或者實現適度的安全,即與信息對視、濫用、未授權訪問或修改的風險和損害相稱。這一定義非常明確地強調了基于風險的側率,以實現1987年《計算機安全法案》中所確立的成本有效的安全概念。
?
IT系統能否處理、存儲或傳輸信息,要由管理層的官員進行授權,這提供了某種形式的質量控制,激發管理人員和技術人員在給定的技術限制、環境限制和使命要求的條件下努力探求最佳安全措施。有些機構將這種授權稱作認可。認可是OMB A-130號通過中的要求,它應該以對IT系統的管理、運行和技術控制的評估為基礎。因為政府各機構指定的安全計劃中已經記錄了IT系統的保護要求和安全控制,所以這些安全計劃是認證過程中所要求的基礎文檔(也因此而減少不必要的重復性管理工作),必要時可以用更為具體的計劃對其進行補充。
?
除安全計劃外,還可以通過風險評估的安全評估來對認可提供支持。國家標準和技術研究所SP 800-30《IT系統風險評估指南》對風險評估做了描述,它可對威脅和脆弱性進行標識,對規劃中或已經在用的安全控制進行分析,確定某項特定的脆弱性被攻擊的可能性,并提供出影響分析結果。在開始認可過程之前,應該對IT系統啟動初始的風險評估。
?
初始的風險評估結果可以用在安全評估中,在后期也可能會再次使用這些結果,并且有可能根據評估結論而對其進行修訂。對IT系統的技術和非技術安全控制進行的綜合評估可以為認可過程提供支持,并可判斷出一個特定的設計和實現對具體安全要求的滿足程度,這種綜合評估被稱作認證。認證為管理層官員提供了必要的信息,用于正式宣布IT系統得到了批準,該系統能夠在一個可接受的風險級上投入運行,只有在實施了一致的管理、運行和技術控制之后,才能做出這種判斷。系統經過認可后,管理層官員便于接受了與之相關的風險。通過對認可過程實現正式化和規范化,減少了系統在缺乏適當的管理層審查下被投入運行的可能性。在IT系統發生重大變更之前,應進行重認可,且至少每三年要進行一次,在風險和可能的危害后果比較高的系統中,重認可的頻率應當更高。
